使用 Microsoft Entra ID 設定 SCIM 布建 (Azure Active Directory)
本文說明如何使用 Microsoft Entra ID(先前稱為 Azure Active Directory)設定布建至 Azure Databricks。
您可以使用 Azure Databricks 帳戶層級或 Azure Databricks 工作區層級的 Microsoft Entra 標識符,設定布建至 Azure Databricks。
Databricks 建議您將使用者、服務主體和群組布建至帳戶層級,並管理將使用者和群組指派給 Azure Databricks 內的工作區。 您必須 為身分識別同盟啟用工作區,才能管理使用者指派給工作區。 如果您有未啟用身分識別同盟的任何工作區,您應該繼續將使用者、服務主體和群組直接布建至這些工作區。
注意
設定布建的方式與設定 Azure Databricks 工作區或帳戶的驗證和條件式存取完全不同。 使用 OpenID 連線 通訊協定流程,Microsoft Entra ID 會自動處理 Azure Databricks 的驗證。 您可以設定 條件式存取,讓您建立規則以要求多重要素驗證,或限制在服務層級對局域網路的登入。
使用 Microsoft Entra ID 將身分識別布建至 Azure Databricks 帳戶
您可以使用 SCIM 布建連接器,將帳戶層級使用者和群組從 Microsoft Entra ID 租使用者同步至 Azure Databricks。
重要
如果您已經有將身分識別直接同步至工作區的 SCIM 連接器,則必須在啟用帳戶層級 SCIM 連接器時停用這些 SCIM 連接器。 請參閱 將工作區層級 SCIM 布建移轉至帳戶層級。
需求
- 您的 Azure Databricks 帳戶必須具有 進階版 方案。
- 您必須在 Microsoft Entra ID 中具有雲端應用程式 管理員 istrator 角色。
- 您的 Microsoft Entra ID 帳戶必須是 進階版 版本帳戶,才能布建群組。 布建用戶適用於任何 Microsoft Entra ID 版本。
- 您必須是 Azure Databricks 帳戶管理員。
注意
若要啟用帳戶主控台並建立您的第一個帳戶管理員,請參閱 建立您的第一個帳戶管理員。
步驟 1:設定 Azure Databricks
- 身為 Azure Databricks 帳戶管理員,登入 Azure Databricks 帳戶控制台。
- 按一下 [設定]
。 - 按兩下 [ 使用者布建]。
- 按兩下 [ 設定使用者布建]。
複製 SCIM 令牌和帳戶 SCIM URL。 您將使用這些來設定 Microsoft Entra ID 應用程式。
注意
SCIM 令牌僅限於帳戶 SCIM API /api/2.0/accounts/{account_id}/scim/v2/ ,無法用來向其他 Databricks REST API 進行驗證。
步驟 2:設定企業應用程式
這些指示會告訴您如何在 Azure 入口網站 中建立企業應用程式,並使用該應用程式進行布建。 如果您有現有的企業應用程式,則可以修改它,以 使用 Microsoft Graph 將 SCIM 布建自動化。 這可移除 Azure 入口網站中個別布建應用程式的需求。
請遵循下列步驟,讓 Microsoft Entra ID 將使用者和群組同步至您的 Azure Databricks 帳戶。 此設定與您建立的任何設定不同,可將使用者和群組同步至工作區。
- 在您的 Azure 入口網站 中,移至 Microsoft Entra ID > Enterprise Applications。
- 按兩下 應用程式清單上方的[+ 新增應用程式 ]。 在 [從資源庫新增] 底下,搜尋並選取 [Azure Databricks SCIM 布建] 連線 or。
- 輸入應用程式的 [名稱],然後按兩下 [新增]。
- 在 [ 管理] 功能表下,按兩下 [ 布建]。
- 將 [布建模式] 設定為 [自動]。
- 將 SCIM API 端點 URL 設定為您稍早複製的帳戶 SCIM URL。
- 將秘密令牌設定為您稍早產生的 Azure Databricks SCIM 令牌。
- 按兩下 [測試 連線,並等候確認認證已獲授權啟用布建的訊息。
- 按一下 [檔案] 。
步驟 3:將使用者和群組指派給應用程式
指派給 SCIM 應用程式的使用者和群組將會布建至 Azure Databricks 帳戶。 如果您有現有的 Azure Databricks 工作區,Databricks 建議您將這些工作區中的所有現有使用者和群組新增至 SCIM 應用程式。
注意
Microsoft Entra ID 不支援將服務主體自動布建至 Azure Databricks。 您可以在您的帳戶中管理服務主體之後,新增 Azure Databricks 帳戶的服務主體。
Microsoft Entra ID 不支援將巢狀群組自動布建至 Azure Databricks。 Microsoft Entra ID 只能讀取和布建明確指派群組的立即成員的使用者。 作為因應措施,請明確指派包含需要布建之使用者的群組(或其他範圍)。 如需詳細資訊,請參閱 此常見問題。
- 移至 [ 管理 > 屬性]。
- 將 [需要指派] 設定為 [否]。 Databricks 建議此選項,這可讓所有使用者登入 Azure Databricks 帳戶。
- 移至 [ 管理 > 布建]。
- 若要開始將 Microsoft Entra ID 使用者和群組同步處理至 Azure Databricks,請將 [ 布建狀態 ] 切換為 [ 開啟]。
- 按一下 [檔案] 。
- 移至 [ 管理 > 使用者和群組]。
- 按兩下 [ 新增使用者/群組],選取使用者和群組,然後按下 [ 指派] 按鈕。
- 等候幾分鐘,並檢查您的 Azure Databricks 帳戶中是否存在使用者和群組。
當 Microsoft Entra ID 排程下一次同步處理時,您新增和指派的使用者和群組會自動布建至 Azure Databricks 帳戶。
注意
如果您從帳戶層級 SCIM 應用程式移除使用者,該使用者會從帳戶和其工作區中停用,而不論是否已啟用身分識別同盟。
使用 Microsoft Entra ID 將身分識別布建至 Azure Databricks 工作區(舊版)
重要
這項功能處於公開預覽狀態。
如果您有未啟用 身分識別同盟的任何工作區,您應該將使用者、服務主體和群組直接布建至這些工作區。 本節說明如何執行這項操作。
在下列範例中,將 取代 <databricks-instance> 為 Azure Databricks 部署的工作區 URL 。
需求
- 您的 Azure Databricks 帳戶必須具有 進階版 方案。
- 您必須在 Microsoft Entra ID 中具有雲端應用程式 管理員 istrator 角色。
- 您的 Microsoft Entra ID 帳戶必須是 進階版 版本帳戶,才能布建群組。 布建用戶適用於任何 Microsoft Entra ID 版本。
- 您必須是 Azure Databricks 工作區管理員。
步驟 1:建立企業應用程式並將其連線至 Azure Databricks SCIM API
若要使用 Microsoft Entra ID 直接設定布建至 Azure Databricks 工作區,請為每個 Azure Databricks 工作區建立企業應用程式。
這些指示會告訴您如何在 Azure 入口網站 中建立企業應用程式,並使用該應用程式進行布建。 如果您有現有的企業應用程式,則可以修改它,以 使用 Microsoft Graph 將 SCIM 布建自動化。 這可移除 Azure 入口網站中個別布建應用程式的需求。
身為工作區管理員,登入您的 Azure Databricks 工作區。
產生個人存取令牌並加以複製。 您會在後續步驟中將此令牌提供給 Microsoft Entra ID。
重要
以 Azure Databricks 工作區管理員身分產生此令牌,而 該系統管理員不是 由 Microsoft Entra ID 企業應用程式所管理。 如果使用 Microsoft Entra ID 取消布建擁有個人存取令牌的 Azure Databricks 系統管理員使用者,將會停用 SCIM 布建應用程式。
在您的 Azure 入口網站 中,移至 Microsoft Entra ID > Enterprise Applications。
按兩下 應用程式清單上方的[+ 新增應用程式 ]。 在 [從資源庫新增] 底下,搜尋並選取 [Azure Databricks SCIM 布建 連線 or]。
輸入應用程式的 [名稱],然後按兩下 [新增]。 使用可協助系統管理員尋找的名稱,例如
<workspace-name>-provisioning。在 [ 管理] 功能表下,按兩下 [ 布建]。
將 [布建模式] 設定為 [自動]。
輸入 SCIM API 端點 URL。 附加
/api/2.0/preview/scim至工作區 URL:https://<databricks-instance>/api/2.0/preview/scim將 取代
<databricks-instance>為 Azure Databricks 部署的工作區 URL 。 請參閱 取得工作區對象的識別碼。將秘密令牌設定為您在步驟 1 中產生的 Azure Databricks 個人存取令牌。
按兩下 [測試 連線,並等候確認認證已獲授權啟用布建的訊息。
選擇性地輸入通知電子郵件,以接收SCIM布建嚴重錯誤的通知。
按一下 [檔案] 。
步驟 2:將使用者和群組指派給應用程式
注意
Microsoft Entra ID 不支援將服務主體自動布建至 Azure Databricks。 您可以遵循 工作區中的管理服務主體,新增 Azure Databricks 工作區的服務主體。
Microsoft Entra ID 不支援將巢狀群組自動布建至 Azure Databricks。 Microsoft Entra ID 只能讀取和布建明確指派群組的立即成員的使用者。 作為因應措施,請明確指派包含需要布建之使用者的群組(或其他範圍)。 如需詳細資訊,請參閱 此常見問題。
- 移至 [ 管理 > 屬性]。
- 將 [指派] 設定為 [是]。 Databricks 建議使用此選項,只同步指派給企業應用程式的使用者和群組。
- 移至 [ 管理 > 布建]。
- 若要開始將 Microsoft Entra ID 使用者和群組同步處理至 Azure Databricks,請將 [ 布建狀態 ] 切換為 [ 開啟]。
- 按一下 [檔案] 。
- 移至 [ 管理 > 使用者和群組]。
- 按兩下 [ 新增使用者/群組],選取使用者和群組,然後按下 [ 指派] 按鈕。
- 等候幾分鐘,並檢查您的 Azure Databricks 帳戶中是否存在使用者和群組。
未來,當您新增和指派的使用者和群組會在 Microsoft Entra ID 排程下一次同步時自動布建。
重要
請勿將個人存取令牌用於設定 Azure Databricks SCIM 布建 連線 或應用程式的 Azure Databricks 工作區管理員指派給該系統管理員。
(選擇性)使用 Microsoft Graph 將 SCIM 布建自動化
Microsoft Graph 包含驗證和授權連結庫,您可以將使用者和群組自動布建至 Azure Databricks 帳戶或工作區,而不是設定 SCIM 布建連接器應用程式。
- 依照指示向 Microsoft Graph 註冊應用程式。 記下應用程式識別碼和應用程式的租用戶標識碼
- 移至應用程式的 [概觀] 頁面。 在該頁面上:
- 設定應用程式的客戶端密碼,並記下秘密。
- 授與應用程式這些許可權:
Application.ReadWrite.AllApplication.ReadWrite.OwnedBy
- 要求 Microsoft Entra ID 系統管理員授與 管理員同意。
- 更新應用程式的程序代碼,以 新增 Microsoft Graph 的支援。
布建秘訣
- 啟用布建之前存在於 Azure Databricks 工作區中的使用者和群組,會在布建同步處理時表現出下列行為:
- 如果它們也存在於 Microsoft Entra ID 中,則會合併
- 如果 Microsoft Entra 識別符中不存在,則會予以忽略
- 個別指派且透過群組成員資格複製的用戶權力,會在移除使用者的群組成員資格之後保留。
- 使用 Azure Databricks 工作區管理員設定頁面,直接從 Azure Databricks 工作區中移除的使用者:
- 失去該 Azure Databricks 工作區的存取權,但可能仍然可以存取其他 Azure Databricks 工作區。
- 即使 Microsoft Entra ID 佈建仍保留在企業應用程式中,也不會再次同步處理。
- 啟用布建之後,會立即觸發初始的 Microsoft Entra ID 同步處理。 後續同步處理會每隔 20-40 分鐘觸發一次,視應用程式中的使用者和群組數目而定。 請參閱 Microsoft Entra ID 檔中的布建摘要報告 。
- 您無法更新 Azure Databricks 工作區使用者的使用者名稱或電子郵件位址。
- 群組
admins是 Azure Databricks 中的保留群組,無法移除。 - 您可以使用 Azure Databricks 群組 API 或 群組 UI 來取得任何 Azure Databricks 工作區群組的成員清單。
- 您無法從 Azure Databricks SCIM 布建 連線 或應用程式同步處理巢狀群組或 Microsoft Entra ID 服務主體。 Databricks 建議您使用企業應用程式來同步處理使用者和群組,以及管理 Azure Databricks 內的巢狀群組和服務主體。 不過,您也可以使用 以 Azure Databricks SCIM API 為目標的 Databricks Terraform 提供者 或自定義腳本,以同步巢狀群組或 Microsoft Entra ID 服務主體。
疑難排解
使用者和群組不會同步
- 如果您使用 Azure Databricks SCIM 布建 連線 或應用程式:
- 針對工作區層級布建:在 Azure Databricks 系統管理員設定頁面中,確認 Azure Databricks 個人存取令牌正在使用的 Azure Databricks 使用者 SCIM 布建 連線 或應用程式仍然是 Azure Databricks 中的工作區系統管理員使用者,且令牌仍然有效。
- 針對帳戶層級布建:在帳戶控制台中,確認用來設定布建的 Azure Databricks SCIM 令牌仍然有效。
- 請勿嘗試同步巢狀群組,Microsoft Entra ID 自動布建不支持這些群組。 如需詳細資訊,請參閱 此常見問題。
Microsoft Entra ID 服務主體不會同步
- Azure Databricks SCIM 布建 連線 or 應用程式不支援同步處理服務主體。
初始同步完成後,使用者和群組會停止同步
如果您使用 Azure Databricks SCIM 布建 連線 或應用程式:初始同步處理之後,Microsoft Entra ID 不會在您變更使用者或群組指派之後立即同步。 其會根據使用者和群組的數目,在延遲一段時間後才排程與應用程式的同步處理。 若要要求立即同步處理,請移至管理>企業應用程式的布建,然後選取 [清除目前狀態],然後重新啟動同步處理。
Microsoft Entra ID 佈建服務 IP 範圍無法存取
Microsoft Entra ID 布建服務會在特定IP範圍下運作。 如果您需要限制網路存取,您必須允許來自此IP範圍檔案中IP位址AzureActiveDirectory的流量。 如需詳細資訊,請參閱 IP 範圍。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應